Security Hub を有効化して設定する - AWS Security Hub

Security Hub を有効化して設定する

AWS Security Hub を有効にする場合、AWS Organizations と統合する方法と、手動で行う方法があります。

マルチアカウントおよびマルチリージョン環境では、Organizations との統合を強くお勧めします。スタンドアロンアカウントをお持ちの場合は、Security Hub を手動で設定する必要があります。

必要なアクセス許可を確認する

Amazon Web Services (AWS) にサインアップしたら、Security Hub を有効にして、その機能を使用する必要があります。Security Hub を有効にするには、まず Security Hub コンソールと API オペレーションへのアクセスを可能にするアクセス許可を設定する必要があります。これは、AWS Identity and Access Management (IAM) を使用して自分の IAM アイデンティティに AWSSecurityHubFullAccess という名前の AWS 管理ポリシーをアタッチすることで、自分でまたは AWS 管理者が実行できます。

Organizations 統合を使用して Security Hub を有効にして管理するには、AWSSecurityHubOrganizationsAccess という名前の AWS 管理ポリシーもアタッチする必要があります。

詳細については、「AWS Security Hub の AWS マネージドポリシー」を参照してください。

Security Hub と Organizations との統合を有効にする

AWS Organizations を使用して Amazon Hub の使用を開始するには、組織の AWS Organizations 管理アカウントで組織の委任 Security Hub 管理者アカウントとしてのアカウントを指定します。Security Hub は、現在のリージョンの委任管理者アカウントで自動的に有効になります。

ご希望の方法を選択し、手順に従って委任管理者を指定します。

Security Hub console
オンボーディング時に委任 Security Hub 管理者を指定するには
  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. [Go to Security Hub] (Security Hub に移動) を選択します。組織の管理アカウントにサインインするよう求めるメッセージが表示されます。

  3. [委任された管理者アカウント] セクションの [委任された管理者を指定] ページで、委任された管理者アカウントを指定します。委任された管理者には、他の AWS セキュリティおよびコンプライアンスサービスと同一の設定を選択することをお勧めします。

  4. [委任された管理者を設定] を選択します。

Security Hub API

Organizations 管理アカウントから EnableOrganizationAdminAccount API を呼び出します。Security Hub の委任された管理者アカウントの AWS アカウント ID を指定します。

AWS CLI

Organizations 管理アカウントから enable-organization-admin-account コマンドを実行します。Security Hub の委任された管理者アカウントの AWS アカウント ID を指定します。

コマンドの例:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Organizations との統合の詳細については、「Security Hub と AWS Organizations の統合」を参照してください。

委任管理者を指定した後は、中央設定を使用して、引き続き Security Hub の設定を行うことをお勧めします。コンソールにそのように求めるプロンプトが表示されます。中央設定を使用することにより、組織の Security Hub を有効化および設定するプロセスを簡素化し、組織のセキュリティを十分に確保できます。

中央設定により、委任された管理者は Security Hub をリージョンごとに設定するのではなく、複数の組織アカウントとリージョンにわたってカスタマイズできます。組織全体の設定ポリシーを作成することも、アカウントや OU ごとに異なる設定ポリシーを作成することもできます。ポリシーでは、関連するアカウントで Security Hub を有効にするか無効にするか、およびどのセキュリティ標準とコントロールを有効にするかを指定します。

委任された管理者は、アカウントを一元管理型またはセルフマネージド型として指定できます。一元管理型アカウントは、委任された管理者のみが設定できます。セルフマネージド型アカウントは、独自の設定を指定できます。

中央設定を使用しない場合、委任管理者が Security Hub を設定する機能が制限されます。詳細については、「Organizations による Security Hub 管理者アカウントとメンバーアカウントの管理」を参照してください。

Security Hub を手動で有効にする

スタンドアロンアカウントをお持ちの場合、または AWS Organizations と統合しない場合は、Security Hub を手動で有効にする必要があります。スタンドアロンアカウントは AWS Organizations と統合できないため、手動で有効化する必要があります。

Security Hub を手動で有効にする場合は、Security Hub 管理者アカウントを指定し、他のアカウントを招待してメンバーアカウントにします。管理者とメンバーの関係は、メンバーアカウント候補が招待を受け入れたときに確立されます。

ご希望の方法を選択し、手順に従って Security Hub を有効にします。コンソールから Security Hub を有効にする場合は、サポートされているセキュリティ標準を有効にするオプションも提供されています。

Security Hub console
  1. AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. Security Hub コンソールを初めて開く場合は、[Security Hub に移動] を選択します。

  3. ウェルカムページには、Security Hub がサポートするセキュリティ基準が [セキュリティ基準] セクションに一覧表示されます。

    基準のチェックボックスを選択して有効にします。チェックボックスをオフにすると無効になります。

    標準またはその個々のコントロールは、いつでも有効または無効にできます。セキュリティ標準の管理の詳細については、「Security Hub のセキュリティ標準について」を参照してください。

  4. [Enable Security Hub] (Security Hub の有効化) を選択します。

Security Hub API

EnableSecurityHub API を呼び出します。API から Security Hub を有効にすると、以下のデフォルトのセキュリティ基準が自動的に有効になります。

  • AWS Foundational Security Best Practices

  • Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

これらの標準を有効にしない場合は、EnableDefaultStandardsfalse に設定します。

また Tags パラメータを使用して、ハブリソースにタグ値を割り当てることもできます。

AWS CLI

enable-security-hub コマンドを実行します。デフォルトの標準を有効にするには、--enable-default-standards を含めます。デフォルトの標準を有効にしない場合は、--no-enable-default-standards を含めます。デフォルトのセキュリティ基準は次のとおりです。

  • AWS Foundational Security Best Practices

  • Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

マルチアカウント有効化スクリプト

注記

このスクリプトの代わりに、中央設定を使用して複数のアカウントとリージョンで Security Hub を有効にして設定することをお勧めします。

GitHub の Security Hub マルチアカウント有効化スクリプトでは、複数のアカウントやリージョンの Security Hub の有効化が許可されています。スクリプトを使用することで、メンバーアカウントへの招待の送信と AWS Config の有効化のプロセスも自動化されます。

このスクリプトは、グローバルリソースを含むすべてのリソースのリソースレコーディングを、すべてのリージョンで自動的に有効にします。グローバルリソースの記録を 1 つのリージョンに制限するものではありません。

複数のアカウントとリージョンで Security Hub を無効にするための、対応するスクリプトがあります。

Security Hub を有効にした後の手順

Security Hub を有効にしたら、セキュリティへの対応で重要なセキュリティ基準とセキュリティコントロールを有効にすることをお勧めします。コントロールを有効にすると、Security Hub はセキュリティチェックの実行とコントロール検出結果の生成を開始します。Security Hub と他の AWS のサービス やサードパーティーのソリューションとの統合を活用して、Security Hub でその検出結果を確認することもできます。